如何测试 CORS 是否正常工作？

测试 CORS（跨域资源共享）是否正常工作：

使用浏览器开发者工具

• 检查请求和响应头：在浏览器中打开开发者工具，切换到网络选项卡，然后发起跨域请求。查看请求头中的Origin字段是否正确设置为请求的源地址，以及响应头中是否包含Access-Control-Allow-Origin字段，并且其值是否与请求的源地址匹配或为*。如果是带凭证的请求，还需检查Access-Control-Allow-Credentials字段是否设置为true，以及Access-Control-Allow-Origin是否为具体的源地址，而不是*。
• 查看 OPTIONS 请求：对于非简单请求，浏览器会先发送预检请求（OPTIONS）。检查 OPTIONS 请求的响应头，确认Access-Control-Allow-Methods字段是否包含实际请求所使用的方法，Access-Control-Allow-Headers字段是否包含实际请求中携带的自定义请求头。如果 OPTIONS 请求的响应头设置正确，且正式请求的响应头也符合 CORS 规范，则说明 CORS 配置正常。

使用命令行工具

• curl 命令：可以使用curl命令来发送跨域请求，并查看响应头信息。例如：

  curl -H "Origin: http://example.com" -I http://api.example.net/data
  

  上述命令会发送一个带有Origin头的跨域请求到http://api.example.net/data，并返回响应头信息。检查响应头中是否包含Access-Control-Allow-Origin等相关字段，以及其值是否正确。
• httpie 命令：httpie是一个类似于curl的命令行工具，但它的输出更友好。使用方法类似：

  http --headers GET http://api.example.net/data Origin:http://example.com
  

  通过httpie发送跨域请求后，可以更清晰地查看响应头中的 CORS 相关信息，判断 CORS 是否正常工作。

编写测试代码

• 使用 JavaScript 测试简单请求：在网页中编写 JavaScript 代码来发送跨域请求，并根据请求的结果判断 CORS 是否正常。例如：

<!DOCTYPE html>
<html>

<body>
  <script>
    var xhr = new XMLHttpRequest();
    xhr.open('GET', 'http://api.example.net/data');
    xhr.onload = function () {
    
      if (xhr.status === 200) {
    
        console.log('CORS is working: ', xhr.responseText);
      } else {
    
        console.log('CORS error: ', xhr.statusText);
      }
    };
    xhr.send();
  </script>
</body>

</html>

上述代码使用XMLHttpRequest发送一个跨域的 GET 请求，如果请求成功并返回正确的数据，则说明 CORS 正常工作；否则，会输出相应的错误信息。

• 使用测试框架测试带凭证的请求：如果需要测试带凭证的跨域请求，可以使用测试框架如 Mocha、Jest 等来编写更复杂的测试用例。以下是一个使用 Mocha 和 Chai 测试带凭证跨域请求的示例：

const chai = require('chai');
const expect = chai.expect;
const axios = require('axios');

describe('CORS with credentials', () => {
   
  it('should allow cross-origin requests with credentials', async () => {
   
    try {
   
      const response = await axios.get('http://api.example.net/data', {
   
        withCredentials: true,
        headers: {
   
          Origin: 'http://example.com'
        }
      });
      expect(response.status).to.equal(200);
    } catch (error) {
   
      expect.fail('CORS with credentials failed: ', error.message);
    }
  });
});

上述测试用例使用axios发送一个带凭证的跨域请求，并根据请求的结果使用chai断言来判断 CORS 是否正常工作。如果请求成功且状态码为200，则测试通过；否则，测试失败并输出相应的错误信息。

使用在线工具

• CORS 测试工具网站：有一些在线工具可以帮助测试 CORS 是否正常工作，如https://www.test-cors.org/。只需在该网站的输入框中输入要测试的跨域请求的 URL，并设置相应的请求头和请求方法等信息，点击测试按钮，网站会发送请求并显示请求和响应的详细信息，包括 CORS 相关的头信息，方便直观地判断 CORS 是否正常。

通过以上多种方法的综合测试，可以全面地检查 CORS 是否正常工作，及时发现和解决跨域资源共享中可能存在的问题，确保不同源的网页和服务器之间能够正常地进行数据交互。